VPN везде и всюду: IPsec без L2TP со strongSwan

Да нет, показалось, ничего)

Тут Павел комментарием ниже намекает, что у меня только UDP-TCP проброшены… и оно да, так и есть, но ведь должен включиться NAT-traversal. Либо не включается, либо одно из двух..? Клиент — семёрка.

IKEv2
The IKEv2 protocol includes NAT traversal in the core standard, but it's optional to implement. strongSwan implements it, and there is no configuration involved.

VPN везде и всюду: IPsec без L2TP со strongSwan

Есть подозрение, что тут без форвардинга всё же никак(

VPN везде и всюду: IPsec без L2TP со strongSwan

Значит, 809-я ошибка из-за чего-то другого. Выше обсуждение читал, но не мой случай видимо. Идёт нормальное соединение… Сервер определяет, что он за натом (роутер, 500 и 4500 порты проброшены), клиент тоже за натом (ничего не проброшено, SNAT). Они договариваются, начинают сессию… а потом… разрыв по таймауту…

Спойлер:

спойлер

Aug 29 13:04:43 sweethome-server charon: 07[NET] received packet: from 1.2.3.4[500] to 192.168.100.10[500] (528 bytes)
Aug 29 13:04:43 sweethome-server charon: 07[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Aug 29 13:04:43 sweethome-server charon: 07[CFG] looking for an ike config for 192.168.100.10...1.2.3.4
Aug 29 13:04:43 sweethome-server charon: 07[CFG] ike config match: 28 (192.168.100.10 1.2.3.4 IKEv2)
Aug 29 13:04:43 sweethome-server charon: 07[CFG] candidate: %any...%any, prio 28
Aug 29 13:04:43 sweethome-server charon: 07[CFG] found matching ike config: %any...%any with prio 28
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 1.2.3.4 is initiating an IKE_SA
Aug 29 13:04:43 sweethome-server charon: 07[IKE] IKE_SA (unnamed)[1] state change: CREATED => CONNECTING
Aug 29 13:04:43 sweethome-server charon: 07[CFG] selecting proposal:
Aug 29 13:04:43 sweethome-server charon: 07[CFG] no acceptable ENCRYPTION_ALGORITHM found
Aug 29 13:04:43 sweethome-server charon: 07[CFG] selecting proposal:
Aug 29 13:04:43 sweethome-server charon: 07[CFG] no acceptable ENCRYPTION_ALGORITHM found
Aug 29 13:04:43 sweethome-server charon: 07[CFG] selecting proposal:
Aug 29 13:04:43 sweethome-server charon: 07[CFG] no acceptable ENCRYPTION_ALGORITHM found
Aug 29 13:04:43 sweethome-server charon: 07[CFG] selecting proposal:
Aug 29 13:04:43 sweethome-server charon: 07[CFG] no acceptable ENCRYPTION_ALGORITHM found
Aug 29 13:04:43 sweethome-server charon: 07[CFG] selecting proposal:
Aug 29 13:04:43 sweethome-server charon: 07[CFG] no acceptable ENCRYPTION_ALGORITHM found
Aug 29 13:04:43 sweethome-server charon: 07[CFG] selecting proposal:
Aug 29 13:04:43 sweethome-server charon: 07[CFG] no acceptable ENCRYPTION_ALGORITHM found
Aug 29 13:04:43 sweethome-server charon: 07[CFG] selecting proposal:
Aug 29 13:04:43 sweethome-server charon: 07[CFG] no acceptable ENCRYPTION_ALGORITHM found
Aug 29 13:04:43 sweethome-server charon: 07[CFG] selecting proposal:
Aug 29 13:04:43 sweethome-server charon: 07[CFG] proposal matches
Aug 29 13:04:43 sweethome-server charon: 07[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024
Aug 29 13:04:43 sweethome-server charon: 07[CFG] configured proposals: IKE:AES_GCM_16_256/AES_GCM_12_256/AES_GCM_16_128/AES_GCM_12_128/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_4096/MODP_1024, IKE:AES_CBC_256/AES_CBC_128/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_4096/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Aug 29 13:04:43 sweethome-server charon: 07[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Aug 29 13:04:43 sweethome-server charon: 07[IKE] natd_chunk => 22 bytes @ 0x7f…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: B3…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: C0… ..d…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] natd_hash => 20 bytes @ 0x7f…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 5C… \...U.....S.6gH.
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: F3 ...]
Aug 29 13:04:43 sweethome-server charon: 07[IKE] natd_chunk => 22 bytes @ 0x7f…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: B3 5… .V&.7.fY…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: C2……
Aug 29 13:04:43 sweethome-server charon: 07[IKE] natd_hash => 20 bytes @ 0x7f00
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 92 0D .....`..F`F..n…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: C5 .5.$
Aug 29 13:04:43 sweethome-server charon: 07[IKE] precalculated src_hash => 20 bytes @ 0x7f0…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 92… .....`…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: C5 .5.$
Aug 29 13:04:43 sweethome-server charon: 07[IKE] precalculated dst_hash => 20 bytes @ 0x7…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 5C… \...U…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: F3… ...]
Aug 29 13:04:43 sweethome-server charon: 07[IKE] received src_hash => 20 bytes @ 0x7f8…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: D3… .)….
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: A7 ..(a
Aug 29 13:04:43 sweethome-server charon: 07[IKE] received dst_hash => 20 bytes @ 0x7f…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 83… .~.}…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: C8 ..GR
Aug 29 13:04:43 sweethome-server charon: 07[IKE] local host is behind NAT, sending keep alives
Aug 29 13:04:43 sweethome-server charon: 07[IKE] remote host is behind NAT
Aug 29 13:04:43 sweethome-server charon: 07[IKE] shared Diffie Hellman secret => 128 bytes @ 0x7f0…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 77……
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: FB……
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 32: F93……
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 48: 11……
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 64: 4F… O…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 80: B8… .]$.=…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 96: 35… 5… @
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 112: 6F… o…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] SKEYSEED => 20 bytes @ 0x7f…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 31… 1…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: B4… .h…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] Sk_d secret => 20 bytes @ 0x7f0
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 7D………
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: 8E… ..CS
Aug 29 13:04:43 sweethome-server charon: 07[IKE] Sk_ai secret => 20 bytes @ 0x7f…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 2E……
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: 6B 3F D4 67 k?.g
Aug 29 13:04:43 sweethome-server charon: 07[IKE] Sk_ar secret => 20 bytes @ 0x7f…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: C2…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: BE 1D C2 51 ...Q
Aug 29 13:04:43 sweethome-server charon: 07[IKE] Sk_ei secret => 32 bytes @ 0x7…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 57…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: 1C 4…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] Sk_er secret => 32 bytes @…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 97…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: E2…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] Sk_pi secret => 20 bytes @…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0:…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: F5… ...U
Aug 29 13:04:43 sweethome-server charon: 07[IKE] Sk_pr secret => 20 bytes @…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0:…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: 35… 5…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] natd_chunk => 22 bytes @ 0x7f0…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: B3…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: C0… ..d…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] natd_hash => 20 bytes @ 0x7…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 16…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: D3…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] natd_chunk => 22 bytes @…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: B3…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: C2……
Aug 29 13:04:43 sweethome-server charon: 07[IKE] natd_hash => 20 bytes @…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 0: 2E…
Aug 29 13:04:43 sweethome-server charon: 07[IKE] 16: A2……
Aug 29 13:04:43 sweethome-server charon: 07[IKE] sending cert request for «C=RU, O=home, CN=strongswan root ca»
Aug 29 13:04:43 sweethome-server charon: 07[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
Aug 29 13:04:43 sweethome-server charon: 07[NET] sending packet: from 192.168.100.10[500] to 1.2.3.4[500] (337 bytes)
Aug 29 13:05:01 sweethome-server CRON[14832]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1)
Aug 29 13:05:03 sweethome-server charon: 06[IKE] sending keep alive to 1.2.3.4[500]
Aug 29 13:05:13 sweethome-server charon: 01[JOB] deleting half open IKE_SA after timeout
Aug 29 13:05:13 sweethome-server charon: 01[IKE] IKE_SA (unnamed)[1] state change: CONNECTING => DESTROYING

VPN везде и всюду: IPsec без L2TP со strongSwan

Фейспалм… Я похоже ключ n забыл… )
Надо меньше пить больше спать

VPN везде и всюду: IPsec без L2TP со strongSwan

Я как белый человек доверил сборку профессионалам (в смысле, с репов убунтовских скачал).

Поэтому версия 5.3.5:

dpkg -l | grep swan

dpkg -l | grep swan
ii libstrongswan 5.3.5-1ubuntu3 amd64 strongSwan utility and crypto library
ii libstrongswan-standard-plugins 5.3.5-1ubuntu3 amd64 strongSwan utility and crypto library (standard plugins)
ii strongswan 5.3.5-1ubuntu3 all IPsec VPN solution metapackage
ii strongswan-charon 5.3.5-1ubuntu3 amd64 strongSwan Internet Key Exchange daemon
ii strongswan-libcharon 5.3.5-1ubuntu3 amd64 strongSwan charon library
ii strongswan-plugin-xauth-noauth 5.3.5-1ubuntu3 all strongSwan plugin for the generic XAuth backend
ii strongswan-starter 5.3.5-1ubuntu3 amd64 strongSwan daemon starter and configuration file parser
ii strongswan-tnc-base 5.3.5-1ubuntu3 amd64 strongSwan Trusted Network Connect's (TNC) — base files

Строка наличествует:

List of X.509 End Entity Certificates:

List of X.509 End Entity Certificates:

altNames: backdoor.vk.com
subject: «C=RU, O=home, CN=backdoor.vk.com»
issuer: «C=RU, O=home, CN=strongswan root ca»
serial:…
validity: not before Aug 27 17:18:00 2016, ok
not after Jul 06 17:18:00 2026, ok
pubkey: RSA 4096 bits, has private key
keyid:…
subjkey:…
authkey:…

List of X.509 CA Certificates:

subject: «C=RU, O=home, CN=strongswan root ca»
issuer: «C=RU, O=home, CN=strongswan root ca»
serial:…
validity: not before Aug 27 17:05:23 2016, ok
not after Aug 25 17:05:23 2026, ok
pubkey: RSA 4096 bits
keyid:…
subjkey:…

Отладочный лог получить не смог, наверное что-то не так делаю… Прикладываю обычный.

Лог

— Logs begin at Вс 2016-08-28 00:56:57 +06. — авг 29 03:15:21 sweethome-server charon[14797]: 00[CFG] opening triplet file /etc/ipsec.d/triplets.dat failed: No such file or directory
авг 29 03:15:21 sweethome-server charon[14797]: 00[CFG] loaded 0 RADIUS server configurations
авг 29 03:15:21 sweethome-server charon[14797]: 00[LIB] loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp lookip error-notify certexpire led addrblock unity
авг 29 03:15:21 sweethome-server charon[14797]: 00[LIB] dropped capabilities, running as uid 0, gid 0
авг 29 03:15:21 sweethome-server charon[14797]: 00[JOB] spawning 16 worker threads
авг 29 03:15:21 sweethome-server ipsec_starter[14796]: charon (14797) started after 60 ms
авг 29 03:15:21 sweethome-server charon[14797]: 04[CFG] received stroke: add connection 'ikev2-pubkey'
авг 29 03:15:21 sweethome-server charon[14797]: 04[CFG] adding virtual IP address pool 10.2.2.0/24
авг 29 03:15:21 sweethome-server charon[14797]: 04[CFG] loaded certificate «C=RU, O=sweethome, CN=blablabla» from 'vpnhostcert.der'
авг 29 03:15:21 sweethome-server charon[14797]: 04[CFG] added configuration 'ikev2-pubkey'

config setup
  # strictcrlpolicy=yes
  # uniqueids = no
  charondebug = "ike 4, cfg 4"


VPN везде и всюду: IPsec без L2TP со strongSwan

Показываю

# ipsec.conf - strongSwan IPsec configuration file

config setup
# strictcrlpolicy=yes
# uniqueids = no

conn %default
keyexchange=ikev2

ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!

dpdaction=clear
dpddelay=35s
dpddelay=300s
rekey=no

left=%any
leftauth=pubkey
leftid=backdoor.vk.com
leftcert=vpnhostcert.der
leftsendcert=always
leftsubnet=0.0.0.0/0

right=%any
rightauth=pubkey
rightsourceip=10.2.2.0/24
#rightdns=8.8.8.8,2001:4860:4860::8888

conn ikev2-pubkey
keyexchange=ikev2
auto=add

Вы соединения в конфигурации указали?

Если речь про conn, то вроде бы, одно. Яблочной техникой не пользуюсь.

клиенты могли обмениваться трафиком друг с другом

Так этого и не требуется. Обычный домашний NAS/htpc.

Вот только зачем?

Чтобы не настраивать iptables и ломать голову кому что можно, а кому нельзя…

VPN везде и всюду: IPsec без L2TP со strongSwan

А что может быть, если и ipsec statusall без ошибок, и systemctl status strongswan вроде тоже, а в выводе netstat ни намёка на порты 500 или 4500?

И ещё до кучи вопрос. Вот у OpenVPN свой виртуальный адаптер — там понятно, виртуальный адаптер — виртуальный адрес: у сервера .1, у клиентов .2 .3 .4 и тп. А как это работает с IPsec, если клиент получит адрес из 192.168.103.0/24 он же там будет в полном одиночестве? Форвардинг только ради этого включать не хочется.

Как узнать какие цветы дарить девушке, если у нее двигается только голова и она не может говорить?

Ещё вот такая технология есть, не встречалась? https://habrahabr.ru/post/208108/

Как узнать какие цветы дарить девушке, если у нее двигается только голова и она не может говорить?

Ввод текста одной кнопкой?? Смело!

Если выбор идёт от левого верхнего края, стоит перераспределить буквы в соответствии с частотой вхождения, чтобы для выбора «А», «О» и так далее нужно было меньше нажатий, чем, скажем, Ъ. Ну и чтобы быстрее привыкнуть, гласные сделать красными, согласные — синими и т. д.

Можно автозавершать слово, если оно угадывается по словарю.

Доработка парсера логов Squid для корректного просмотра посещенных HTTPS ресурсов

Не скажу про крахи, а вот вместо гуглопереводчика частенько выдавало белый лист плюс страшную запись в логе. Может, ещё дело в разрядности: у меня старенький пенёк х86, а у вас вроде 64.

Доработка парсера логов Squid для корректного просмотра посещенных HTTPS ресурсов

Попробуйте 3.5.13 https://habrahabr.ru/post/267851/#comment_8793751 Работает полгода, не падает, в логах всё отрезолвлено, кроме сайтов из чёрного списка.

VPN везде и всюду: IPsec без L2TP со strongSwan

ValdikSS, не знаю, как других, а меня вы точно запутали. Раз в своё время начали использовать такую связку, IPsec+L2TP, значит зачем-то оно было надо? Нет, конечно тем, кто сходу перечислит 7 уровней модели OSI (в правильном порядке) оно может быть очевидно, но я к ним, к сожалению, не отношусь… Вообще, каково предназначение чистого L2TP, и отдельно IPsec?

Учёные нашли старейшее дерево в Европе, которому 1075 лет

Нашли? Молодцы. Теперь, главное, не трогайте.

Релиз ReactOS 0.4.2 и запуск в VirtualBox

Что вы сделали с Jeditobe ?!?!
(*паника*)

It’s the future

Какую же зарплату надо пообещать человеку, чтобы он добровольно втянулся в это… месиво…

«Пятничный формат»: AI – новый враг или новый бог

Hope we're not just the biological boot loader for digital superintelligence.

Перефразируя классиков, вполне возможен расклад, что человечество — это промежуточное звено эволюции, необходимое природе, чтобы создать венец творения — шоколадно-кремовый торт с ликёром и вишенкой :)

Почему OpenVPN тормозит?

Шестое чувство настаивает, что тюнить эту штуку обойдётся себе дороже. Оптимист внутри меня считает необходимым рассмотреть вариант бросить самбу вообще и перейти на WebDav. Он поддерживается в windows без дополнительного софта, и его можно смонтировать как сетевой диск. Единственное ограничение — 4 гигабайта на файл.

Почему OpenVPN тормозит?

*** iftop

Почему OpenVPN тормозит?

Путаю иногда. 11 КБ — это биты, или байты? ))

Шучу. iperf показывает загрузку канала на 1/10… Так что всё правильно.

Почему OpenVPN тормозит?

А у меня не стал летать, как ни старался… На мегабитной линии smb разгоняется только до 120 килобит, остальной канал свободен. Пинг 150. Ничего не дают ни попытки увеличить буфера (в смысле, буферы) — от 0 до 500К, ни загадочный mssfix, ни тип порта c UDP на TCP и обратно… Кстати, на плохом канале tcp ощутимо помогает — потери падают почти до нуля. Правда, пинг вырастает до одной секунды (*нервный смех*)